怎样发现Cisco路由器
占据着70%市场份额的Cisco路由器有类毛病,比如IOSLOGON,和HISTORY bug,使得用户可以轻易地远程识别Cisco的路由器产品。其所利用的端口是1999:
>tcp-id-port 1999/tcp cisco identification port
>tcp-id-port 1999/udp cisco identification port
一般地,运行IOS code的Cisco产品对1999端口请求作出的响应和其它的端口不同,比如2000:
[Computer] [Cisco]
SYN port 2000 -------->
<-------- RST,ACK
..................
[Computer] [Cisco]
SYN port 1999 -------->
一般回应的包里面会有包含\"Cisco\"字符的信息 <------- RST,ACK
这就使人们可以找到Cisco路由器.
通过用扫描工具扫描大段IP地址的做法,即使cisco把telnet端口关掉,人们也可以很轻易地发现哪些是在跑
Cisco的网络产品。已经有人开发出来了专门搜索cisco路由器的工具。
当然,如果你知道某个地址是路由器,login的提示或者\"nmap -O\"都会告诉你它是Cisco路由器。但1999端口的
毛病却可以让人们借助工具得到一个Cisco路由器分布的清单。
解决方案:
封锁1999口上所有进来的TCP通信
其实这只不过是一部分,Cisco面临的更严重的毛病是由Cisco Discover protocol(CDP)引起的,port 1999仅仅告诉别人路由器是什么牌子,而Cisco Discover protocol(CDP)使它老向Lan上周期性地广播一些信息,包括所用软件的信息和版本,和机器用的操作系统类型,还会显示相邻的CDP设备的列表。
相关的两个毛病,请参阅:
http://www.cisco.com/warp/public/770/ioslogin-pub.shtml
http://www.cisco.com/warp/public/770/ioshist-pub.shtml
注:一个IOs的毛病
Cisco路由器的514端口(syslog)很容易受攻击,只要发一些错误的UDP包就可以让路由器服务崩溃或者挂起
Cisco运行IOs的产品有;
* Cisco routers in the AGS/MGS/CGS/AGS+, IGS, RSM, 8xx, ubr9xx, 1xxx,
25xx, 26xx, 30xx, 36xx, 38xx, 40xx, 45xx, 47xx, AS52xx, AS53xx, AS58xx,
64xx, 70xx, 72xx (including the ubr72xx), 75xx, and 12xxx series.
* Most recent versions of the LS1010 ATM switch.
* Some versions of the Catalyst 2900XL LAN switch.
* The Cisco DistributedDirector.
发布人:netbull 来自:黑白世界